REGISTREREDES RETTIGHEDER
Databeskyttelsesforordningen bringer kontrollen med data tilbage til den registrerede. Det betyder, at de registrerede blandt andet har en række rettigheder, herunder navnlig ret til gennemsigtighed, i forhold til de oplysninger, der behandles om den pågældende.
Ret til gennemsigtighed
Gennemsigtighed giver for det første den registrerede mulighed for at vurdere, om man på de givne betingelser i det hele taget vil afgive oplysninger til den dataansvarlige. For det andet kan den registrerede kontrollere, at oplysningerne, der behandles, er rigtige, og at behandlingen i det hele taget er lovlig.
I den sammenhæng skal man som dataansvarlig navnlig være opmærksom på pligten til selvstændigt at oplyse den registrerede om muligheden for at gøre indsigelse efter databeskyttelsesforordningens artikel 21, hvis grundlaget for behandlingen blandt andet er bestemmelsen i artikel 6, stk. 1, litra f. Efter denne bestemmelse kan man behandle ikke-følsomme oplysninger, hvis man har en legitim interesse, medmindre den registreredes interesser går forud herfor.
Ny praksis ved behandling af følsomme oplysninger
Yderligere skal man være opmærksom på, at Datatilsynet har ændret sin praksis vedrørende hjemlen til at behandle oplysninger. Tidligere forudsatte man, at hvis der var hjemmel til at behandle følsomme oplysninger efter artikel 9 (eksempelvis man skal bruge oplysningerne til at gøre et retskrav gældende), så var der også hjemmel til at behandle de almindelige oplysninger efter artikel 6.
Med den ændrede praksis skal der nu findes selvstændigt hjemmel i artikel 6 til at behandle de almindelige oplysninger. Artikel 6 har ikke en hjemmel, der svarer til retskravsbestemmelsen i artikel 9, stk. 2, litra f. Ofte vil det derfor være interesseafvejningshjemlen i artikel 6, stk. 1, litra f, man skal anvende. Det betyder til gengæld, at man klart og tydeligt skal orientere de registrerede om indsigelsesretten i artikel 21 for så vidt angår de almindelige oplysninger.
Hvilke rettigheder har den registrerede?
Den dataansvarlige skal på eget initiativ oplyse den registrerede herom, hvis der indsamles og behandles oplysninger om den pågældende. Den registrerede skal bl.a. oplyses om formålet med behandlingen, hjemmelsgrundlaget, kategorier af modtagere, hvornår den registreredes oplysninger slettes, og den registreredes rettigheder.
Den registrerede kan til hver en tid bede den dataansvarlige oplyse, om der behandles oplysninger om vedkommende og i så fald hvilke oplysninger, til hvilket formål og kategorier af eventuelle modtagere af oplysningerne mv. Ret til indsigt finder man også i særlovgivningen – eksempelvis har man efter sundhedslovgivningen ret til indsigt i sine patientjournaler.
Den registrerede kan gøre indsigelse mod, at oplysninger om vedkommende behandles og kan også kræve en behandling begrænset til færre oplysninger.
Den registrerede kan kræve, at eventuelt urigtige eller vildledende oplysninger berigtiges, slettes eller blokeres, og at eventuelle tredjemænd, der måtte have modtaget oplysningerne, bliver orienteret om, at oplysningerne er berigtiget eller slettet.
Den registrerede kan til enhver tid tilbagekalde et samtykke til behandling af oplysninger, hvilket de klart og utvetydigt skal informeres om i forbindelse med, at man indhenter et samtykke.
Hvordan skal den dataansvarlige sikre overholdelse af reglerne for registreredes rettigheder?
For at kunne opfylde rettighedsreglerne bør man have kortlagt kategorierne af registrerede i ens organisation, samt hvilke oplysninger man indsamler og til hvilke formål. Det skal også klarlægges, hvor oplysningerne befinder sig i organisationens tekniske systemer – det kan være flere forskellige steder alt afhængig af, om der er tale om en medarbejder, en kunde eller en anden erhvervsmæssig kontakt.
Derudover bør man have gennemgået og optimeret procedurerne for registrering/opbevaring af oplysninger, så der bliver stringens og samling på oplysningerne, ligesom man skal have klarlagt opgave-/ansvarsfordelingen i organisationen.
Den konkrete og praktiske opfyldelse af en rettighed kan dog stadig rejse vanskeligheder i forhold til form og indhold. I udgangspunktet omfatter retten til indsigt eksempelvis alle oplysninger, altså også oplysninger registreret på medarbejderes lokale drev, ligesom personer, der omtales i andres sager, i udgangspunktet skal oplyses om behandlingen og kan kræve indsigt. Systemet bør derfor indrettes sådan, at alle – også tredjeparter – kan søges frem.
Man bør desuden så vidt muligt samle alle registreringer i sagsbehandlingssystemer og instruere sit personale om, at klienters, kunders eller medlemmers personoplysninger ikke må arkiveres/opbevares på lokale drev eller i ex. mailsystemet.
Undtagelser til den registreredes rettigheder
Af hensyn til ikke at gøre reglerne unødigt byrdefulde og omkostningstunge, gælder der en række undtagelser. Vanskelighederne ved at opfylde en oplysningspligt overfor en mere perifer registreret vil eksempelvis ikke altid stå mål med det udbytte, den pågældende får af underretningen. Der skal herefter ikke gives oplysning, hvis det vil kræve en uforholdsmæssig stor indsats.
Derudover gælder et naturligt hensyn til tavshedspligt og behovet for fortrolighed. Der kan være uheldige konsekvenser forbundet med en underretning efter oplysningspligtreglerne eller en opfyldelse af en indsigtsanmodning, hvis den registreredes oplysninger eksempelvis indgår i en sag, en fagforening behandler for et medlem, og hvis hensynet til medlemmet tilsiger, at sagen holdes fortrolig.
Rådgivning den registreredes rettigheder
Før man undlader at opfylde en rettighed, skal man dog grundigt overveje, om undtagelsesbetingelsen nu også er opfyldt. Hovedformålet med databeskyttelseslovgivningen er at beskytte den registrerede, hvilket i sig selv indebærer, at undtagelserne er snævre. Hertil kommer, at databeskyttelse indebærer et bødeniveau af en hidtil uset størrelse inden for databeskyttelsesretten.
Det er derfor en god idé at søge juridisk bistand, hvis man modtager en klage eller en anmodning fra en registreret, idet sådanne henvendelser kan rejse en række GDPR-relaterede spørgsmål, man ikke altid lige kan finde svar på.
Kontakt os
Har du derfor spørgsmål eller brug for hjælp, er du velkommen til at kontakte os for en uforpligtende drøftelse af dine muligheder.